Multi-License Discount Quote
Databáza hrozieb Malware GoGra Backdoor

GoGra Backdoor

Do roku Mezo v roku Malware, Backdoors
Preložiť do:
Slovenčina

V novembri 2023 bola mediálna organizácia z Južnej Ázie zameraná pomocou novoobjaveného zadného vrátka na báze Go známeho ako GoGra. Tento malvér, napísaný v programovacom jazyku Go, využíva rozhranie Microsoft Graph API na komunikáciu so serverom Command-and-Control (C&C) hosteným na poštových službách spoločnosti Microsoft. Spôsob doručenia GoGra do cieľových prostredí zostáva zatiaľ neznámy. Predovšetkým je GoGra navrhnutý na čítanie správ z konta Outlook s užívateľským menom 'FNU LNU', konkrétne tých, ktorých predmet sa začína na 'Input'.

GoGra zdieľa podobnosti s predtým odhaleným malvérom

Obsah správy je dešifrovaný pomocou algoritmu AES-256 v režime Cipher Block Chaining (CBC) pomocou špecifického kľúča. Po dešifrovaní sa príkazy vykonajú cez cmd.exe. Výsledky sú potom zašifrované a odoslané späť tomu istému používateľovi s predmetom 'Výstup'. Predpokladá sa, že GoGra vyvinula hackerská skupina z národného štátu známa ako Harvester , kvôli jeho podobnosti s vlastným implantátom .NET s názvom Graphon , ktorý tiež používa rozhranie Graph API pre funkcie Command-and-Control (C&C).

Aktéri hrozieb čoraz častejšie využívajú legitímne cloudové služby

Aktéri hrozieb čoraz viac využívajú legitímne cloudové služby, aby zostali diskrétni a vyhli sa nákladom spojeným s vyhradenou infraštruktúrou.

Významné príklady tohto trendu zahŕňajú:

  • Firefly : Nový nástroj na exfiltráciu údajov použitý pri kybernetickom útoku proti vojenskej organizácii v juhovýchodnej Ázii. Zozbierané údaje sa nahrajú na Disk Google pomocou pevne kódovaného obnovovacieho tokenu.
  • Grager : V apríli 2024 boli objavené nové zadné vrátka zamerané na organizácie na Taiwane, Hongkongu a Vietname. Komunikuje so serverom Command-and-Control (C&C) hosteným na Microsoft OneDrive prostredníctvom rozhrania Graph API. Táto aktivita je predbežne spojená s podozrivým čínskym aktérom hrozby známym ako UNC5330.
  • MoonTag : Zadné vrátka s funkciou interakcie s rozhraním Graph API pripisovaným čínsky hovoriacim aktérom hrozby.
  • Onedrivetools : Zadné vrátka používané proti spoločnostiam poskytujúcim IT služby v USA a Európe. Využíva rozhranie Graph API na komunikáciu so serverom C&C na OneDrive, vykonávanie príkazov a ukladanie výstupu na rovnakú platformu.

Aj keď používanie cloudových služieb na velenie a riadenie nie je novou technikou, v poslednom čase sa jeho prijatie medzi útočníkmi zvyšuje.

Nebezpečenstvo infekcií zadných vrátok

Malvér typu backdoor predstavuje významné nebezpečenstvo pre dotknuté organizácie alebo používateľov vrátane:

  • Neautorizovaný prístup : Zadné vrátka poskytujú útočníkom skrytý prístup k systémom, čo im umožňuje obísť bežné autentifikačné mechanizmy. Tento neoprávnený prístup môže viesť ku kompromitácii citlivých údajov a kritických systémov.
  • Krádež údajov : Útočníci môžu použiť zadné vrátka na preniknutie dôverných informácií vrátane osobných údajov, duševného vlastníctva a finančných záznamov. Tieto zozbierané údaje možno použiť na krádež identity, firemnú špionáž alebo predaj na temnom webe.
  • Kontrola systému a manipulácia : Po nainštalovaní zadného vrátka môžu útočníci získať kontrolu nad postihnutými systémami. Táto kontrola im umožňuje vykonávať príkazy, inštalovať ďalší malvér, meniť konfigurácie systému alebo manipulovať s údajmi.
  • Kompromis siete : Zadné vrátka často uľahčujú bočný pohyb v rámci siete. Útočníci môžu použiť počiatočný kompromis na bočný pohyb naprieč pripojenými systémami, čo môže potenciálne ovplyvniť celé siete a zvýšiť rozsah ich útoku.
  • Prerušenie operácií : Backdoor malvér môže narušiť bežné obchodné operácie tým, že spôsobí zlyhania systému, odstráni alebo zašifruje dôležité súbory alebo vedie k problémom s výkonom. To môže viesť k výpadkom prevádzky a finančným stratám.
  • Špionáž a sledovanie : Na špionáž možno použiť zadné vrátka, ktoré útočníkom umožňujú sledovať a zaznamenávať aktivity používateľov, komunikáciu a interakcie. Tento dohľad môže ohroziť súkromie a viesť k úniku citlivých informácií.
  • Poškodenie reputácie : Prítomnosť backdoor malvéru môže poškodiť dobré meno organizácie, čo vedie k strate dôvery zákazníkov. To môže mať dlhodobý vplyv na obchodné vzťahy a postavenie na trhu.
  • Regulačné a právne dôsledky : Organizácie môžu čeliť právnym a regulačným dôsledkom, ak nedokážu ochrániť citlivé údaje. Porušenie údajov zahŕňajúce malvér typu backdoor môže viesť k pokutám, právnym žalobám a problémom s dodržiavaním predpisov.

Stručne povedané, malvér typu backdoor predstavuje mnohostrannú hrozbu, ktorá môže ohroziť bezpečnosť, súkromie a prevádzkovú integritu, a preto je nevyhnutné, aby organizácie a používatelia používali robustné bezpečnostné opatrenia a boli ostražití pred potenciálnymi prienikmi.

Trendy

Najviac videné

Vyskakovacie okná „Ak máte 18 rokov, klepnite na...

Fake Warning Messages
29,400
Vyskakovacie okná „Ak máte 18 rokov“ sú typom kontextových reklám, ktoré sa zobrazujú na obrazovke používateľa pri prehliadaní internetu. Tieto kontextové okná môžu byť pre používateľov dosť alarmujúce, pretože ich vyzývajú, aby klikli na tlačidlo „povoliť“, aby mohli pokračovať v používaní webovej stránky, na ktorej sa práve nachádzajú. Tieto kontextové okná sú spojené s takými nežiaducimi...
Načítava...